شرح استخدام Sleuthkit و Autospy لتحليل واسترجاع الملفات المحذوفة. هذه إحدى الطرق المستخدمة من قبل المحققين الجنائيين الرقميين لفحص ملفات أي ذاكرة كانت سواء قرص صلب او بطاقة ذاكرة جوال أو خلافه, في هذا الموضوع قمت بالتجربة على ذاكرة USB سعة 4 جيجا بايت. حيث قمت بحذف بغض الملفات منها وإبقاء ملفات أخرى.

 

المتطلبات:

  1. نظام لينوكس.
  2. Sleuthkit.
  3. Autopsy forensic browser.
  4. قرص صلب أو usb للتجربة عليه.

حسناً , بالنسبة لي فأنا أستخدم لينوكس Fedora 12 في الشرح , بالإضافة إلى الأدوات المطلوبة أعلاه .

القسم الأول: تركيب الأدوات

يجب تركبيها على الترتيب, أولاً قم بزيارة موقع Sleuth وقم بتحميل الأداة, بعد ذلك تأكد من أن جهازك يحتوي على مترجم c++ اسمه:

gcc-c++

وتأكد من وجواد المكتبات التالية:

  • afflib
  • libewf

بعد ذلك قم بفك الضغط عن البرنامج Sleuth وقم بعمل الخطوات المعتادة لعملية الكومبايل:

./configure
make
sudo make install

مع التأكد بأن كل خطوة لا تنتهي بوجود أخطاء, بعد ذلك نحتاج لأن ننصب Autopsy ثم نفك الضغط بعد التحميل:

tar xzvf autopsy-2.22.tar.gz

ثم نقوم بتطبيق:

./configure

حيث سوف يسألك هذه الأسألة:

Autospy

هذه قائمة خاصة بموضوع آخر جداً غير إستعادة الملفات, لذلك أخترت n لها الآن. ثم السؤال الثاني يسألك عن مسار لمخزن الأدلة في حالتي أردت المخزن أن يكون في مسار الـ HOME الخاص بالمستخدم الخاص بي وأسميت الملف locker وكما هو واضح في الصورة, حذرني بأن الملف غير موجود لذلك كان يجب علي إنشاؤه:

mkdir ~/locker

الآن البرنامج جاهز للعمل عن طريق تطبيق الأمر

./autopsy

لكن لن نقوم بتشغيله الآن, لأنه يجب علينا أولاً الحصول على صورة من القرص الصلب أو قسم أو خلافه, في حالتي أريد إستعادة الملفات التي قمت بمسحها من ذاكرة usb الخاصه بي.

 

القسم الثاني: الحصول على صورة من القرص الصلب

1توصيل الذاكرة المراد أخذ صورتها إلى الجهاز, في حالتي قمت بتوصيل اليو اس بي .

2. معرفة إسم القرص في النظام عن طريق fdisk -l كالتالي:

Fdisk -l

في حالتي, معرف القرص في النظام هو:

/dev/sdc1

3- الآن يتم عمل umount للقرص حتى يتم تصويره , في حالتي سوف يكون الأمر كالتالي:

sudo umount /dev/sdc1

الآن تتم عملية التصوير عن طريق الأمر التالي:

sudo dd if=/div/DRIVE bs=1024 of=IMAGE.NAME conv=noerror
  • sudo: تنفيذ الأمر بصلاحيات جذر
  • dd: أمر نسخ القرص
  • if: معرف القرص في النظام
  • bs: عدد البايتات التي يتم قرائتها وكتابتها كل مره
  • conv=noerror: نخبر برنامج النسخ بأن يتخطى الخطأ في عملية النسخ ويكمل العملية

الآن سوف يكون الأمر كالتالي:

dd copy

حيث سوف تستغرق العملية بعض الوقت بناء على حجم القرص المراد نسخه, في حالتي أخذ 4 دقائق لنسخ 4 جيجابايت تقريباً.

 

القسم الثالث: عملية التحليل وإستعادة الملفات

نقوم بتشغيل برنامج autopsy حيث نقوم بالذهاب إلى المسار الخاص به بعد فك الضغط عند تنزيله ثم ننفذ الأمر التالي داخل المجلد الخاص به:

./autopsy

Autospy run

كما هو موضح البرنامج موجود على هذا الرابط:

http://localhost:9999/autopsy

إفتحه عن طريق متصفحك المفضل حيث هذه سوف تكون واجهته:

Autospy Firefox

ممتاز. الآن البرنامج يعمل, لنقوم بالضغط على New Case لإضافة ملف قضية حتى نبدأ عملية تحليل الصورة :

Autospy create a new case

الآن بعد تعبأة البيانات المطلوبة نقوم بالضغط على New Case حيث سوف نواجه الصفحة هذه بعدها:

Autospy add host

نتابع بالضغط على add host :

Autospy myusb victim

نقوم بملئ الخانات المطلوبة .. ثم نتابع بالضغط على Add Host:

Autospy add image

نتابع بالضغط على add image:

Autospy add image file

ثم بعد ذلك تظهر لنا الصفحة التالية:

Autospy add new image usb

حيث في الفراغ الأول يتم وضع مسار الصورة الخاصة بالقرص, في الفراغ الثاني نختار النوع في حالتي يعتبر قسم وليست صورة لهاردسك كامل أما في الأخير نوع الإضافة أخترت نسخ, لو كان حجم الملف كبير ينصح بإستخدام symlink.

بعد الإنتهاء نستمر بالضغط على Next حيث سوف يظهر لنا التالي:

Autospy details image file

في حالتي تجاهلت الـ integrity لأن تطابق الصورة مع النسخة لا تهمني. وبالنسبة عن نوع نظام التخزين/الملفات, فإن قرصي يعمل على fat32.

الآن وبعد الضغط على add تأتينا نافذة بتأكيد العملية وإنهائها:

Autospy done ok

نقوم بالضغط على زر اوكي حيث سوف تأتينا الصفحة الرئيسية,

Autospy home page analyze

الآن نضغط على analyze لبدء تحليل القرص حيث سوف تأتينا الصفحة التالية:

Autospy file analysis

نضغط على File Analysis وسوف تأتينا الصفحة التالية:

Autospy full screen shot analyze

الآن تم عرض محتويات القرص, حيث الملفات التي باللون الأحمر تمثل ملفات تم حذفها من القرص, والملفات التي باللون الأزرق هي ملفات مازالت موجودة في القرص, فعلى سبيل المثال لو قمت بالضغط على style-rtl.css سوف يتم عرض محتوياته بالأسفل كالتالي:

Autospy style rtl contents

بإمكانك الضغط على Export لإعادة تحميل الملف لو أردت ذلك.

الآن مبروك عليك إستعادة الملفات القديمة الخاصة بقرصك الصلب إذا أردت أن تتدرب على قرص, هذه صورة قسم حيث تم مسح جميع محتوياته, حاول تحليله بإستخدام البرنامج وأنظر ماذا تكتشف. أتمنى أن يستفيد الجميع من الشرح…

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn